버그캠프 이용약관
본 약관은 주식회사 엔키(이하 “회사”)가 제공하는 버그캠프 플랫폼을 이용함에 있어 매니저와 회사 간의 권리와 의무 그 밖의 제반사항을 정하는 것을 목적으로 합니다.
제1조 (정의)
- 본 약관에서 사용하는 용어의 정의는 다음과 같습니다.
- “버그캠프”란 화이트 해커(보안기술전문가)가 기업, 기관 또는 단체(이하 “기업 등”)가 보유한 웹˙앱 및 IT인프라의 보안 취약점을 진단 및 보고하고, 화이트 해커에게 그에 대한 상당한 보상이 지급되는 크라우드소싱 기반의 취약점 보상 프로그램인 버그바운티 플랫폼을 말합니다.
- “버그바운티 프로그램”이란 기업 등이 자사의 웹˙앱 및 IT인프라 등 정보자산(이하 “에셋”)의 취약점을 발견하기 위하여 참여 정책 및 보상 기준 등을 정하여 버그캠프에 등록하는 프로그램을 말합니다.
- “회원”이란 버그캠프의 회원으로 가입한 자를 말합니다.
- “매니저”란 버그캠프에 회원으로 가입한 자로서 버그바운티 프로그램을 운영하는 기업 등에 소속된 자를 말하고, “오너 매니저”란 버그캠프 내에서 기업 등이 소유한 크레딧의 관리, 소속 기업 등의 버그캠프 등록 및 해지 기타 관리업무를 담당하는 자를 말합니다.
- “티켓”이란 버그바운티 프로그램의 보안 취약점을 진단하여 회원이 기업 등에 제출하는 보고서를 말합니다.
- “크레딧”이란 기업 등이 회원이 제출한 티켓의 유효성을 검증하여 유효한 취약점으로 판단된 경우 해당 티켓을 최초로 제출한 회원에게 지급하는 보상금의 형태를 말합니다.
- 본 조에서 정하지 않은 용어의 의미에 관하여는, 관련 법령 및 일반 상관례에서 정한 바에 따릅니다.
제2조 (약관의 게시 및 개정)
- 회사는 본 약관을 매니저가 쉽게 찾을 수 있도록 매니저 페이지 초기화면에서 링크를 클릭하면 연결화면을 통하여 볼 수 있도록 게시합니다.
- 회사는 필요한 경우, 관련 법령에 위반되지 않는 범위 내에서 본 약관을 개정할 수 있습니다.
- 제 2항에 따라 약관을 개정할 경우, 회사는 약관 개정 내용과 시행 일자를 시행일 7일 전부터 공지합니다. 다만 개정 내용이 중대하거나 매니저에게 불리한 경우에는, 최소 30일 전에 공지하고 매니저에게 이메일이나 문자 메시지를 이용하여 개별적으로 통지합니다.
- 회사가 제 3항에 따라 매니저에게 약관 개정 내용을 공지 또는 통지하면서, “시행일 전까지 이에 동의하지 않는다는 의사를 표시하지 않으면 동의한 것으로 본다”는 뜻을 명확히 알렸음에도 매니저가 명시적으로 부동의 의사를 표시하지 아니한 경우에는, 개정 내용에 동의한 것으로 보고 본 약관과 함께 개정된 약관이 적용됩니다.
- 본 조에 의하여 개정된 약관은 시행일부터 효력을 발생합니다.
제3조 (기업 등록)
- 버그캠프에 회원으로 가입한 자로서 기업 등에 소속되어 있는 자는 본 약관에 동의하고 매니저 회원으로 가입한 후 기업 등록을 신청할 수 있습니다.
- 회사는 신규 기업 등록 신청에 대하여, 내부 절차에 따라 검토 후 버그캠프에 등록합니다.
- 제 1, 2항에 따라 최초로 기업 등록을 신청한 자는 해당 기업의 오너 매니저로서의 권한을 부여 받습니다.
- 회사는 특별한 사정이 없는 한 신규 기업 등록 신청을 승인합니다. 다만 버그캠프에 등록시키는 것이 적절하지 않거나 다른 기업 등의 서비스 이용에 방해가 된다고 회사가 판단하는 경우에는 승인을 거절할 수 있습니다.
- 버그캠프에 이미 등록된 기업 등이 존재하는 경우, 해당 기업 등의 오너 매니저로부터 권한을 부여 받은 후에 본 약관에 동의하면 매니저로서 버그캠프를 이용할 수 있습니다.
제4조 (프로그램 등록 및 관리)
- 매니저는 소속된 기업 등의 버그바운티 프로그램을 유상 또는 무상으로 등록할 수 있습니다.
- 버그바운티 프로그램 등록 시, 프로그램 이름, 취약점 진단 대상이 되는 에셋, 참여 정책, 보상 유무, 보상기준 및 보상금액 범위, 관심 영역 등을 정확히 설정하여야 합니다. 프로그램 등록 시 설정한 내용에 오류가 있거나 부정확한 설명으로 인하여 회원과 분쟁이 발생한 경우, 회사는 관여하거나 중재하지 않으며 고의 또는 중대한 과실이 없는 한 책임을 지지 않으므로 주의하기 바랍니다.
- 버그바운티프로그램 등록 시, 버그캠프의 취약점 분류 기준 사용 여부, 범위 외 테스트 허용 여부, 조치 완료된 취약점 공개 동의 여부, 보안 서약서 요구여부에 대하여 선택할 수 있고, 프로그램 등록 후 변경을 원할 경우에는 신속히 수정하여 주시기 바랍니다.
- 제 3항에도 불구하고 무상 버그바운티 프로그램을 등록할 경우,보안 서약서를 요구할 수 없고 조치 완료된 취약점의 ‘180일 후 자동 공개(민감한 정보, 개인 정보 삭제)’를 반드시 선택해야 합니다.
제5조 (보상금 지급)
- 프로그램을 운영하는 매니저는 회원이 제출한 티켓에 대하여 신속히 검토하여 정당한 방법으로 유효성을 검증하여야 하고, 유효성이 검증된 티켓을 제출한 회원에게 보상 기준에 따라 보상금으로 크레딧을 지급하여야 합니다.
- 유효성 검증 및 판단, 보상기준에 대하여 회원이 이의를 제기하거나 이견을 제시하는 경우, 매니저는 공개 가능한 범위에서 검증 과정 및 판단 기준을 회원에게 제시하는 등 원만히 해결하기 위하여 노력해야 합니다.
- 회원이 제출한 티켓의 유효성이 검증되었음에도 고의로 크레딧을 지급하지 아니한 사실이 밝혀진 경우, 해당 회원에게 3배의 크레딧을 지급해야 합니다.
- 제 3항의 경우, 해당 프로그램을 등록 및 운영하는 매니저가 버그캠프 회원에서 탈퇴하거나 매니저로 활동하지 아니한 경우, 오너 매니저가 제 3항에서 정한 크레딧을 지급하여야 합니다.
제6조 (크레딧의 사용 및 소유 관계)
- 매니저는 소속 기업 등이 보유하고 있는 크레딧을 5년 동안 사용할 수 있고, 기업 등록이 해지되는 경우 해지 시점까지 사용하지 않고 남은 크레딧의 환불을 요청할 수 있습니다. 회사는 환불 요청시 14영업일 이내에 요청한 계좌로 환급하는 방법으로 환불합니다.
- 크레딧의 소유자는 매니저가 소속된 기업 등이므로, 매니저가 버그캠프 회원에서 탈퇴하거나 매니저로 활동하지 아니하는 경우, 해당 매니저는 크레딧에 관한 권리를 행사할 수 없습니다.
- 이벤트 등을 통하여 기업 등에게 무상으로 지급된 크레딧의 사용 기간은 해당 이벤트 등에 따라 결정됩니다.
제7조 (티켓의 소유권 등 권리에 관한 사항)
- 매니저 또는 매니저가 소속된 기업 등은 회원이 제출한 티켓의 소유권을 보유할 수 있습니다.
- 회원이 티켓을 제출하면서, 티켓에 관한 저작재산권(복제, 공연, 공중송신, 전시, 배포, 대여), 제 2차적 저작물 작성권, 기타 상업적으로 이용할 수 있는 권리를 기업 등에게 양도하는데 동의한 경우, 매니저 및 기업 등은 티켓을 자유롭게 이용할 수 있습니다.
제8조 (매니저 회원 탈퇴 및 기업 등록 해지)
- 매니저 활동 중지를 원하는 자는 소속 기업 등의 오너 매니저에게 권한 중지를 요청하거나 버그캠프 회원에서 탈퇴할 수 있습니다. 다만 버그캠프 회원에서 탈퇴하는 경우 화이트 해커로서 버그캠프를 이용할 수 없고 화이트 해커로서 활동하기 위하여 버그캠프 회원으로 재가입하여야 하므로, 회원 탈퇴 여부는 신중하게 결정하시기 바랍니다.
- 오너 매니저는 다른 소속 매니저에게 오너 권한을 이전한 후에 비로소 버그캠프 회원에서 탈퇴할 수 있습니다.
- 기업 등록 해지는 오너 매니저만 신청할 수 있고, 오너 매니저는 회사에게 전자우편으로 기업 등록 해지 신청을 할 수 있습니다.
- 회사가 제 3항의 신청에 따라 기업 등록을 해지하는 경우, 버그캠프에 등록된 프로그램은 모두 비활성화 조치됩니다.
- 기업 등록이 해지되는 경우에도, 소속 매니저의 버그캠프의 회원 자격은 유지됩니다.
제9조 (계정 관리 및 양도 금지)
- 매니저는 자신의 계정을 타인에게 양도하거나 이용하게 할 수 없습니다.
- 매니저가 제 1항을 위반하여 타인에게 양도하거나 이용하게 함으로써 발생된 문제에 대하여는 매니저가 직접 책임을 부담해야 하고, 회사는 고의 또는 중대한 과실이 없는 한 책임을 지지 않습니다.
- 매니저는 자신의 계정이 타인에 의해 무단으로 사용되고 있음을 알게 된 경우, 즉시 회사에 알려야 하고 회사의 안내 및 조치가 있는 경우 그에 따라야 합니다. 이 경우 무단 사용으로 인하여 발생된 문제 또는 손해에 대하여 회사는 고의 또는 과실이 없는 한 책임을 지지 않습니다.
- 제 3항의 경우 매니저가 그 사실을 안 날로부터 5일이 경과하도록 회사에 대한 통보를 지체한 경우, 또는 그 사실을 알리지 아니한 경우, 또는 회사에 그 사실을 알린 경우에도 회사의 안내 및 조치에 따르지 않은 경우에는, 그로 인하여 매니저 또는 소속 기업 등이 입은 손해에 대하여 회사는 고의 또는 과실이 없는 한 책임을 지지 않습니다.
제10조 (회사의 역할 및 면책)
- 회사는, 매니저가 버그바운티 프로그램을 등록하면 버그캠프에 회원으로 가입한 불특정 다수의 사람이 등록된 프로그램의 에셋에 대하여 취약점을 진단하고 그 결과를 기재한 티켓을 매니저에게 제출하는데 필요한 서비스를 제공할 뿐이므로, 위 과정에서 매니저와 회원 사이 분쟁이 발생한 경우 특별한 사정이 없는 한 개입하거나 중재하지 않습니다.
- 회사는 매니저와 회원 사이 분쟁의 합리적인 해결을 위하여 서비스 센터를 통하여 해당 분쟁에 관여할 수 있으나, 그 결과에 책임을 지지 않습니다.
- 회사는 지속적이고 안정된 서비스를 제공하기 위하여 노력합니다. 다만 해킹, 바이러스 감염 등 외부 요인에 의하여 설비 시스템에 장애가 발생하여 서비스가 일시적으로 중지되거나 매니저가 등록한 프로그램에 관한 정보가 유출된 경우, 회사는 이러한 사실을 즉시 매니저와 매니저가 소속된 기업 등에게 알리고 신속한 복구 등 필요한 조치를 취합니다. 이 경우 회사의 고의 또는 중대한 과실이 없는 한 발생한 손해에 대하여는 회사는 법적인 책임을 지지 않습니다.
- 회사가 사전에 통제할 수 없는 회원의 다음과 같은 행위에 대하여, 회사는 고의 또는 중대한 과실이 없는 한 책임을 지지 않습니다. 다만 회사는 발생한 문제를 해결하기 위하여 매니저 또는 매니저가 소속된 기업 등의 요청에 최대한 협조하겠습니다.
- 악의 또는 불법적인 목적으로 프로그램에 포함된 에셋에서 취득한 정보를 누설하거나 외부에 공개하는 행위
- 악의 또는 불법적인 목적으로 프로그램에 포함된 에셋의 일부 또는 전부를 훼손하거나 사용이 불가능하도록 만드는 행위
- 악의 또는 불법적인 목적으로 프로그램에 포함된 에셋에 대하여 프로그램 범위를 벗어나서 공격하는 행위
- 기타 이와 유사한 행위로서 프로그램에 포함된 에셋의 효용성을 해하는 행위
제11조 (개인정보 보호)
- 본 조에서 개인정보란 「개인정보 보호법」 제 2조 제 1항에서 정하고 있는 정보로서, 구두, 문서, 파일 등 그 형식을 불문합니다.
- 매니저는 회사로부터 취득하거나 서비스 이용 중에 스스로 취득한 회원의 개인정보를 취득한 목적 이외의 다른 목적으로 이용하거나 위조 ˙ 변경해서는 아니되고, 목적 여하를 불문하고 해당 회원의 동의 없이 제3자에게 제공하여서는 아니되며, 분실 ˙ 유출되지 않도록 철저히 관리해야 합니다.
- 매니저는 거짓이나 그 밖의 부정한 수단이나 방법으로 회사 또는 회원으로부터 개인정보를 취득하여 이를 영리 또는 부정한 목적으로 사용하거나 제3자에게 제공해서는 안 됩니다.
- 매니저가 제 2, 3항을 위반하여 회원과 사이에 분쟁이 발생한 경우 일체의 책임을 부담하고 손해가 발생한 경우 이를 배상해야 합니다. 이와 관련하여 회사는 고의 또는 과실이 없는 한 책임을 지지 않습니다.
제12조 (분쟁 해결 및 재판 관할)
- 본 약관에서 정하지 아니한 사항 또는 본 약관의 내용에 대하여 회사와 매니저 사이 이견이 있을 경우, 쌍방이 협의하여 결정하고 만약 합의가 성립되지 않을 경우 관련 법령 및 일반 상관례에 따라 해결합니다.
- 제 1항에 의하여 해결되지 않는 경우 또는 회사가 제공하는 서비스 이용으로 발생한 분쟁에 대하여 소송이 제기되는 경우, 재판의 관할은 민사소송법의 관할 규정에 따릅니다.
[부칙]
제1조 본 약관은 2022년 7월 30일부터 시행됩니다.